금융보안원이 2020년 금융권 버그바운티를 다음달부터 확대 실시한다. 지난해보다 취약점 신고 기간과 포상금 규모를 확대했다.
이번 금융권 버그바운티는 국내 금융사가 전자금융 소비자에게 제공하는 비-액티브X 소프트웨어(SW) 신규 보안 취약점이 신고 대상이다. 올해 상하반기로 나눠 각각 2개월씩 운영한다. 상반기는 다음달부터 6월까지, 하반기는 8월부터 9월까지다. 국내외 거주하는 한국인이면 누구나 참여할 수 있다.
포상금은 기준에 따라 최대 1000만원까지 지급한다. 취약점은 외부 전문가가 접수한 후 취약점 검증 시스템을 통해 검증한다. 내외부 취약점 평가위원이 취약점을 평가하고 등급을 산정한다. 신고자에게는 포상을 하고 SW 제조사에는 패치를 요청하고 검증, 금융사에 적용되도록 한다.
금융보안원은 이번 버그바운티를 통해 금융사 SW 안전성을 강화하는 동시에 침해사고 예방 효과를 더욱 높일 것으로 기대한다.
김영기 금융보안원 원장은 “지난해 기준 온라인 뱅킹을 통한 자금이체가 일 평균 25조원 이상인 점을 감안하면 전자금융서비스 관련 SW 보안과 안전은 필수”라면서 “이번 버그바운티에 국내외 역량 있는 보안 전문가가 적극 참여하길 바란다”고 말했다.
버그바운티는 SW 보안 취약점을 신고하면 이를 평가해 포상금을 지급하는 제도다. 금융보안원은 지난해 최초로 금융권 버그바운티를 실시했다. 지능형지속위협(APT) 공격 취약점 등 주요 취약점 신고자에게 포상금을 지급하고 해당 취약점 정보를 SW 제조사와 공유해 패치 프로그램을 배포했다.
오다인기자 ohdain@etnews.com